исследовать траффик
на UNIX -
tcpdump -s 0 -xX port 80
и хоть заизучайся.
для Windows есть Ethereal
Язык бы не поднялся назвать его под Win кстати. Всегда ассоциировался именно с Linux или Unix системами, а уж в последнуюю очередь с виндой. )
Язык бы не поднялся назвать его под Win кстати. Всегда ассоциировался именно с Linux или Unix системами, а уж в последнуюю очередь с виндой. )
Почему? Я некоторое время назад активно его под виндой юзал. Очень хороший снифер когда нужно разбираться в проблемах хождения пакетов по сети. А юниховой машины под рукой может и не быть.
Хотя по сравнению с тем же OmniPeek более тормознутый, что в прочем в данном случае не удивительно.
Еще хорош ettercap :D , но под виндой использовать не приходилось.
ну, я думаю, в ОС :)
Дык я тоже его под виндой юзаю. Просто с виндой он в последнюю очередь ассоциируется.
А так, у них же даже фильты с tcpdump-ом одинаковые. Опять же можно дамп от tcpdump-а в нем в гуе анализировать.
Да и собственно одну либу для этого юзают. )
tcpdump -s 0 -xX port 80
А как можно разбивать по файлах? Ну, чтобы не все в кучу было смешано..
Вот если поставить задачу снифать траф только если идет закачка файла больше определенного размера - как реализовывать?
Ключ -s только рубит сам лог на одинаковы части...
Ведь tcpdump'у, как и другим тулзам глубоко по барабану на формат данных.. Как определить начало/конец файла - неизвестно.
Сейчас на уме - только снифать все, а потом копаться во всем этом и отделять кости регуляркой какой-то..
В Wireshark в последних версиях стали развивать подобный функционал, TCP Stream называется что, сейчас точно не помню. Вот этой командй можно склеить пакеты одной сессии. Опять же реализованно это там на сколько помню не до полного уровня автоматизации.
Насчет записи всего... конечно снифер будет писать все в кучу, а готового фильтра (а там есть набор разных готовых фильтров) вроде бы как нет, но не факт, полистай доки. Опять же не проблема дописать свой плагин который сможет провести такую фильрацию.
Вот если поставить задачу снифать траф только если идет закачка файла больше определенного размера - как реализовывать?
Ключ -s только рубит сам лог на одинаковы части...
Ведь tcpdump'у, как и другим тулзам глубоко по барабану на формат данных.. Как определить начало/конец файла - неизвестно.
Сейчас на уме - только снифать все, а потом копаться во всем этом и отделять кости регуляркой какой-то..
та в гугле разных парсеров tcpdump'овых логов - вагон. я сам себе на perl'e & bash'e ваял различные вырезалки и разбиралки.
http://www.intuit.ru/department/os/osintropractice/10/ (под никсы).
http://www.intuit.ru/department/os/osintropractice/10/ (под никсы).
Я не курю:) а про реализацию ТСР в винде через апи знаю не по наслышке. Было время сам когда то писал клиент серверное нечто на асме. А вот щас просто понадобилось послать пару байт на один порт. Не писать же ради этого программу)
А так - телнет. )) Он для того и служит. Вот только если надо непеатные символы (тоесть байты не сответсвующие кодам нормальных символов) посылать, надо убедиться, что телнет клиент их воспринимать может. )